Dynamický NAT na routeru s VRF a subinterfacy

[Assembler]

Ahoj,
prosím o radu, už si nevím rady.

Mám router C2811 rozdělený pomocí VRF na DMZ a INSIDE.
každý ze dvou interface je nakonfigurovaný jako subinterface, takto.

externí (uvádím jen jeden subinterface, ty další jsou nakonfigurovány identicky):
interface FastEthernet 0/0.30
ip vrf forwarding INSIDE
encapsulation dot1Q 30
ip address 192.168.30.2 255.255.255.0
ip nat outside

interní (uvádím jen jeden subinterface, ty další jsou nakonfigurovány identicky)::
interface FastEthernet 0/1.51
ip vrf forwarding INSIDE
encapsulation dot1Q 51
ip address 192.168.51.1 255.255.255.0
ip nat inside

dotaz zní, proč mi sakra nefunguje dynamický NAT? Proč se uživatel nemůže dostat na net?

nakonfigurováno to mám takto:
access-list 10 permit 192.168.51.0 0.0.0.255 any - uživatelská sít
ip nat pool NATpool 192.168.30.10 192.168.30.200 netmask 255.255.255.0
ip nat inside source list 10 pool NATpool vrf INSIDE overload

nevidíte někdo nějakou botu? prosím o pomoc.

[Reklama]

[nmns]

pominuli NAT za NATem (zrejme je cestou dalsi NAT, protoze tady je neverejna na neverejnou), proc je to delane pres POOL?

ip nat pool NATpool 192.168.30.10 192.168.30.200 netmask 255.255.255.0
jsou ty adresy z POOLu nahozeny jako loopbacky nekde na routeru?

nestaci jenom:

ip nat inside source list 10 interface FastEthernet 0/0.30 overload
access-list 10 permit 192.168.51.0 0.0.0.255

?

[nmns]

oprava:

ip nat inside source list 10 interface FastEthernet 0/0.30 vrf INSIDE overload

[assembler]

je tak, za tímto natem je ještě jeden nat. pool tam je, protože jsem myslel, že je to nutnost, resp.... že je to jedno, ale vyzkouším a dám vědět.
dík
L.